Aktualizacja przez EROD wytycznych dotyczących zgody – cookie walls, scrolling

Europejska Rada Ochrony Danych (EROD) 4 maja 2020 r. przyjęła zaktualizowaną wersję wytycznych dotyczących zgody (wytyczne 05/2020 w sprawie zgody na mocy rozporządzenia 2016/679 ver. 1.1, dalej: „wytyczne”).

Poza kilkoma zmianami redakcyjnymi wyjaśnione zostały niektóre istotne kwestie związane z:

  • Warunkowością zgody.
  • Jednoznacznością zgody udzielonej przez osobę, której dane dotyczą w kontekście tzw: „cookie walls”.
  • Przewijaniem lub przeglądanie strony internetowej w kontekście działania  potwierdzającego wyrażenie zgody na cookies.

Warunkowość zgody

Oceniając, czy zgoda jest udzielana dobrowolnie, należy wziąć pod uwagę art. 7 ust. 4 RODO, który stanowi gwarancję, że cel przetwarzania danych osobowych nie jest ani ukryty ani nie jest powiązany z wykonaniem umowy, jeżeli przetwarzanie danych osobowych nie jest niezbędne do jej wykonania.

W wytycznych EROD rozszerza pojęcie warunkowości jako elementu ważności zgody na przetwarzanie danych osobowych. Według EROD zgody nie można uznać za dobrowolną, jeśli administrator danych uzależnia świadczenie usługi od wyrażenia zgody,  a jednocześnie istnieje możliwość wyboru między jego usługą, która obejmuje wyrażenie zgody a równoważną usługą oferowaną przez innego administratora danych.

Ponadto EROD podkreślił, że „dostawca usług nie może uniemożliwiać osobom, których dane dotyczą, dostępu do usługi ze względu na brak zgody”.

Cookie walls

Zgodnie z wytycznymi  dobrowolność zgody oznacza, że dostęp do oferowanych usług nie może być uzależniony od zgody użytkownika na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika.  Jako przykład EROD podaje „cookie walls”, czyli praktykę wymuszającą od użytkownika zgodę na zainstalowanie plików cookies, by móc uzyskać dostęp do strony internetowej. A upraszczając – chodzi o praktykę uniemożliwiania  dostępu do treści bez kliknięcia na przycisk „akceptuj ciasteczka” czy też „wyrażam zgodę na pliki cookies”.

Według EROD, takie „ściany cookies” nie są zgodne z RODO, ponieważ nie dają one użytkownikowi rzeczywistego wyboru, a korzystanie z usługi jest uzależnione od zaakceptowania plików cookies.

Przewijanie/ przeglądaniem strony internetowej jako działanie potwierdzające

EROD wyjaśnił również znaczenie  jednoznaczności przy wyrażaniu zgody na przetwarzanie danych osobowych, w odniesieniu do czynności „przewijania” i „przesuwania” jako wyrażenia ważnej zgody.

Zgodnie z motywem 32 RODO  zgoda musi być „wyraźnym aktem potwierdzającym”, który zapewnia jednoznaczne, jasne i potwierdzające wyrażenie zgody osoby, której dane dotyczą, na przetwarzanie danych osobowych.

W wytycznych zostało podkreślone, że „działania takie jak przewijanie lub przesuwanie się po stronie internetowej lub podobne aktywności użytkownika w żadnym wypadku nie spełnią wymogu jednoznacznego potwierdzającego działania”.

Administratorzy muszą unikać dwuznaczności i zapewnić możliwość odróżnienia działania, w ramach którego udzielana jest zgoda, od innych działań. Samo kontynuowanie zwykłego korzystania ze strony internetowej nie jest zachowaniem, z którego można wywnioskować, że użytkownik wyraził zgodę na przetwarzanie jego danych, a  administrator nie będzie mógł wykazać, że uzyskał jednoznaczną zgodę w rozumieniu art. 4 ust. 11 RODO.

Ponadto, w takim przypadku trudno będzie zapewnić użytkownikowi sposób na wycofanie zgody w sposób, równie łatwy jak jej uzyskanie.

Stanowisko EROD stanowi dalsze uzupełnienie wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie w sprawie C-673/17 (Planet 49).

Podsumowując przedsiębiorcy  powinni dokonać przeglądu stosowanych przez nich mechanizmów pozyskiwania zgody w celu ustalenia czy:

  • Dostęp do ich usług nie jest uzależniony od zgody użytkownika na przetwarzanie jego danych osobowych.
  • Pliki cookies nie są instalowane, dopóki użytkownik nie wyrazi zgody na ich użycie.
  • Użytkownik miał realny wybór, czy zgodzić się na używanie plików cookie, czy też odmówić ich zainstalowania.
  • Użytkownik nie zostanie pozbawiony możliwości dostępu do strony internetowej w przypadku odmowy zainstalowania plików cookies.

Zaktualizowane Wytyczne EROD 05/2020 w sprawie zgody na mocy rozporządzenia 2016/679 ver. 1.1

Kara fińskiego organu ds. ochrony danych osobowych dla Posti Oyj

Fiński organ ds. ochrony danych osobowych nałożył karę w wysokości 100 000 EUR na firmę Posti Oyj, która jest wiodącym operatorem usług pocztowych w Finlandii. Kara została nałożona za naruszenie zasady przejrzystości. Decyzja dotyczy skarg, które wpłynęły do organu, w których twierdzono, że skarżący otrzymali marketing bezpośredni od Posti.

Dochodzenie przeprowadzone przez organ wykazało, że firma Posti nie poinformowała osób, których dane dotyczą o ich prawach, w tym o prawie sprzeciwu wobec przetwarzania danych. Stwierdzono, że naruszenie nie miało charakteru incydentalnego, ale było systematyczne. Jak ustalono dotknęło ono 161 000 klientów w samym 2019 r.

Decyzja organu fińskiego jest okazją do przypomnienia o obowiązku przestrzegania zasady przejrzystości wynikającej z RODO, na którą organ powołał się w decyzji. Zasada ta wynika z art. 5 ust. 1 lit. a) RODO.

Artykuł 12 ust. 1 RODO precyzuje kiedy zapewniona jest przejrzystość, zobowiązując administratora do podjęcia odpowiednich środków, aby w zwięzłej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielił osobie, której dane dotyczą, wszelkich wymaganych prawem informacji. Zasada przejrzystości jest ściśle powiązana z art. 13 RODO, do którego treści także odwołał się organ nakładający karę. Przepis ten określa informacje, które należy przekazać kiedy dane osobowe są zbierane bezpośrednio od osoby, której dotyczą. Wśród informacji, które należy przekazać jest m.in. informacja o prawie sprzeciwu wobec przetwarzania danych osobowych. Prawo to przysługuje m.in. w przypadku gdy dane osobowe są przetwarzane dla celów marketingowych (na podstawie prawnie uzasadnionego interesu tj. art. 6 ust. 1 lit. f RODO). W decyzji organu fińskiego (niestety dostępnej tylko w języku fińskim) powołano się również na motyw 39 RODO, zgodnie z którym zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. W kontekście tych wymogów w decyzji powołano się również na Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości zgodnie z rozporządzeniem 2016/679, WP260 rev.01 (wydane 29 listopada 2017 r., przyjęte dnia 29 listopada 2017 r. ostatnio zmienione i przyjęte w dniu 11 kwietnia 2018 r.). Istotnie, w Wytycznych tych zwraca się uwagę na potrzebę realizacji zasady przejrzystości. Co za tym idzie spełniania obowiązku informacyjnego w taki sposób, aby osoba, której dane dotyczą, zawsze była w stanie z wyprzedzeniem określić zakres i skutki przetwarzania i nie została później zaskoczona informacją, w jaki sposób wykorzystano jej dane osobowe.

Z treści decyzji można wnioskować, że przy wymiarze kary pieniężnej wzięto pod uwagę takie okoliczności, jak m.in.: czas trwania naruszenia, świadomość że dochodzi do naruszenia (prace nad poprawą przejrzystości zainicjowano już kilka lat wcześniej). Wzięto także pod uwagę brak wykazania, aby osoby, których dotyczyło naruszenie poniosły jakąkolwiek stratę finansową lub inną szkodę materialną w jego wyniku.

 

Źródła:

https://tietosuoja.fi/en/article/-/asset_publisher/tietosuojavaltuutetun-toimiston-seuraamuskollegio-maarasi-kolme-seuraamusmaksua-tietosuojarikkomuksista?_101_INSTANCE_ajcbJYZLUABn_languageId=en_US

https://www.dataguidance.com/news/finland-deputy-ombudsman-fines-posti-€100000-gdpr-transparency-violations

Decyzja fińskiego organu ds. ochrony danych osobowych https://tietosuoja.fi/documents/6927448/22406974/Henkilötietojen+käsittelyn+läpinäkyvyys+ja+rekisteröidylle+toimitettavat+tiedot.pdf/b869b7ba-1a05-572e-d97a-9c8a56998fc1/Henkilötietojen+käsittelyn+läpinäkyvyys+ja+rekisteröidylle+toimitettavat+tiedot.pdf

Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01  https://www.uodo.gov.pl/pl/3/1343

Wszczęcie postępowania w sprawie wycieku danych osobowych z jednej z warszawskich uczelni

Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie w sprawie Polityki Warszawskiej. Postępowanie zostało wszczęte po zgłoszeniu naruszenia danych osobowych. Od rozpoczęcia obowiązywania RODO minęły właśnie 2 lata. Nic dziwnego, że każde nowe postępowanie czy decyzja organu nadzorczego analizowane są z dużą uwagą. Stanowią one bowiem cenną informację o stanowisku organu nadzorczego o tym na co kładziony jest szczególny nacisk a także o kształtującej się polityce karania.

Przypomnijmy, że obecne postępowanie jest konsekwencją incydentu jaki miał miejsce na początku maja tego roku. Doszło wówczas do wycieku sporej ilości danych studentów i pracowników PW. Jak wynika z doniesień prasowych mogło dojść do ujawnienia szerokiego zakresu danych tych osób takich jak: m.in. imiona, nazwiska, adresy, numery dowodów osobistych, ale także numery PESEL czy informacje o nazwisku panieńskim matki in. Tak szeroki zestaw danych może stwarzać zagrożenie dla osób, których te dane dotyczą. Dane takie jak numer PESEL czy imię nazwisko panieńskie matki stanowią bowiem często jeden z istotnych środków do weryfikacji tożsamości klienta np. w banku. Nieuprawniony dostęp do dużego wachlarza danych rodzi różne ryzyka, w tym m.in. ryzyko kradzieży tożsamości. Warto wspomnieć, że w przy Ministerstwie Cyfryzacji trwają prace Grupy Roboczej powołanej do spraw przeciwdziałania temu zjawisku. W pracach grupy biorą udział przedstawiciele kilku resortów. Obecnie prace grupy uległy czasowemu zawieszeniu z uwagi na trwającą epidemię, ale można mieć nadzieję, że inicjatywa ta przyczyni się do wypracowania rozwiązań mających na celu zmniejszenie skali tego zjawiska.

Z komunikatu UODO wynika, że organ nadzorczy zwrócił się do Politechniki Warszawskiej z prośbą o udzielenie wyjaśnień oraz złożenie dokumentów umożliwiających zbadanie tej sprawy. W ramach postępowania sprawdzone zostanie czy wdrożone zostały odpowiednie środki zabezpieczenia technicznego i organizacyjnego, czy dokonywano ich regularnego przeglądu oraz oceny ich skuteczności w celu zapewnienia bezpieczeństwa danych.

Organ nadzorczy zadeklarował przede wszystkim, że celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem. Jednak w swoim komunikacie UODO zwrócił uwagę także na przysługujące mu uprawnienie do nałożenia administracyjnej kary pieniężnej.

Wyciek danych a także wszczęcie postępowania w tej sprawie zbiegły się ze zwiększeniem popularności komunikacji zdalnej w okresie epidemii – dane pochodziły najprawdopodobniej z platformy służącej do kształcenia na odległość. Zdarzenie to szczególnie uświadamia jak ważne jest zadbanie o odpowiednie środki zabezpieczenia danych w otoczeniu cyfrowym.

Źródła:

https://uodo.gov.pl/pl/138/1545

https://niebezpiecznik.pl/post/uodo-ruszyl-z-postepowaniem-ws-politechniki-warszawskiej/

https://www.rp.pl/Dane-osobowe/305089905-Wyciek-danych-na-Politechnice-Warszawskiej-Uczelnia-chce-zwracac-wydatki-na-BIK.html

 

Nowe Prawo komunikacji elektronicznej (PKE) – Nowe problemy ze zbieraniem zgód marketingowych?

Trwają prace legislacyjne nad ustawą Prawo komunikacji elektronicznej (w skrócie PKE). PKE zastąpi obecnie obowiązujące Prawo telekomunikacyjne oraz wprowadzi zmiany w ustawie o świadczeniu usług drogą elektroniczną i tym samym będzie przez kolejne lata wpływać na wiele dziedzin naszego życia – zawodowego i prywatnego. Nie można już bowiem zaprzeczać, że jesteśmy coraz bardziej związani i zależni od infrastruktury teleinformacyjnej i środków komunikacji elektronicznej.

Celem PKE jest implementowanie dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (w skrócie EKŁE).

Europejski Kodeks Łączności Elektronicznej (ang. European Electronic Communications Code, w skrócie EECC) – dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej, zastępująca dyrektywy 2002/19/WE, 2002/20/WE, 2002/21/WE, 2002/22/WE.

Okres na transpozycję przepisów dyrektywy do prawa krajowego każdego z Państw Członkowskich UE ustalony został najpóźniej na dzień 21 grudnia 2020 r.

PKE będzie regulować wszystkie obszary funkcjonowania branży telekomunikacyjnej, ale dzisiaj skupimy się na temacie istotnym dla większości przedsiębiorców – czyli na pozyskiwaniu zgód marketingowych.

W ramach wdrożenia RODO wiele firm główny ciężar kładło na zapewnienie zgodności z prawem procesów marketingowych. Jednak dostosowanie procesów marketingowych wyłącznie do wymogów RODO nie gwarantuje, że marketing jest prowadzony zgodnie z prawem. Firmy muszą pamiętać, że są zobowiązane do przestrzegania również innych regulacji.

Od dawna większość działań marketingowych prowadzona jest za pośrednictwem różnych kanałów komunikacji z klientem np. mailowo lub telefonicznie. Dlatego poza RODO zastosowanie mają również postanowienia Dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej, tzw. e-privacy) (Dz. U. UE L 201, z dnia 31 lipca 2002 r.). Implementując tę dyrektywę do polskiego porządku prawnego, ustawodawca niefortunnie wprowadził nie jedną, a dwie niezależne od siebie zgody dotyczące kanałów komunikacji marketingowej – w Prawie telekomunikacyjnym oraz w ustawie o świadczeniu usług drogą elektroniczną.

Obecnie art. 172 ust. 1 Prawa telekomunikacyjnego wymaga zgody na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego wobec abonenta lub użytkownika końcowego. Natomiast zgoda wymagana na gruncie art. 10 ustawy o świadczeniu usług drogą elektroniczną obejmuje przesyłanie niezamówionej informacji handlowej do oznaczonej osoby fizycznej za pomocą środków komunikacji elektronicznej.

W praktyce zakresy tych zgód często pokrywają się i wypracowanie efektywnego modelu ich odbierania w powiązaniu z wymogami prawa ochrony danych osobowych stanowiło wyzwanie. Sens takiego rozbicia regulacji dotyczącej tego samego procesu (marketingu bezpośredniego) był wielokrotnie kwestionowany na przestrzeni wielu lat, co niewątpliwie miało wpływ na projekt PKE opracowany przez Ministerstwo Cyfryzacji.

W projekcie ustawy implementującej EKŁE połączone zostały dotychczasowe regulacje z Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną, dotyczące przesyłania marketingu bezpośredniego lub niezamówionej informacji handlowej.

Art. 343.

1. Zakazane jest:

  • używanie automatycznych systemów wywołujących lub
  • używanie telekomunikacyjnych urządzeń końcowych, w szczególności korzystając z usług łączności interpersonalnej – dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej do oznaczonego odbiorcy, chyba że użytkownik końcowy uprzednio wyraził na to zgodę.

2. Marketing bezpośredni lub przesyłanie niezamówionej informacji handlowej są dopuszczalne, jeżeli użytkownik końcowy wyraził zgodę na ich otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

(…)

Ministerstwo Cyfryzacji wyraźnie broni praw konsumentów do wolności od niechcianych treści marketingowych, co jest słuszne. Jednak prawodawca nie powinien zapominać o tym, że „reklama dźwignią handlu”.

Z punktu widzenia przedsiębiorców prowadzących działania marketingowe nadal niejasne pozostaje rozróżnienie „celu marketingu bezpośredniego” i „niezamówionej informacji handlowej”. Wskazówką nie jest też okoliczność, że projekt przepisów wprowadzających PKE zakłada usunięcie art. 10 ustawy o świadczeniu usług droga elektroniczną, projektowany art. 343 PKE stanowi bowiem połączenie brzmienia obecnego art. 172 ust. 1 Prawa telekomunikacyjnego i art. 10 ustawy o świadczeniu usług drogą elektroniczną.

Nie mamy pewności, czy dokładnie takie postanowienia znajdą się w uchwalonej ustawie PKE. Wydaje się jednak, że proponowane brzmienie przepisu nadal nie rozwiewa wątpliwości co do tego czy wystarczająca będzie jedna zgoda, czy konieczne będzie odbieranie odrębnie dwóch lub większej ilości zgód, w zależności od planowanych kanałów komunikacji marketingowej z klientem.

Z niecierpliwością czekamy zatem na ostateczne brzmienie PKE, które będzie zawierać regulacje dostosowane do oczekiwań uczestników rynku a także rozwijającej się technologii.

Kara za nieprawidłowość w powołaniu Inspektora Ochrony Danych

Belgijski organ właściwy do spraw ochrony danych osobowych nałożył najwyższą w swojej historii karę pieniężną za naruszenie przepisów RODO – w wysokości 50 000 EURO – za niezgodne z przepisami powołanie Inspektora Ochrony Danych (IOD). Zarzut dotyczył braku zapewnienia jego niezależności. Kara stanowi wyraźny sygnał, że organy nadzorcze poważnie podchodzą do prawidłowego określenia statusu Inspektora Ochrony Danych, a administratorzy powinni z ostrożnością wybierać pracowników na to stanowisko.

Ukarana organizacja powołała na Inspektora Ochrony Danych swojego pracownika wysokiego szczebla, który jednocześnie kierował działami compliance, zarządzania ryzykiem oraz audytów.  Organ nadzorczy uznał za niedopuszczalne takie umiejscowienie IOD w organizacji. Jako kierownik aż trzech komórek organizacyjnych, IOD brał udział w określaniu celów i sposobów przetwarzania danych w tych działach, czego, zdaniem organu nadzorczego, nie można pogodzić z doradczą funkcją IOD.

Urząd uznał, że w przedmiotowej sprawie wystąpił konflikt interesów między sprawowaniem  funkcji  Inspektora Ochrony Danych a innymi pełnionymi stanowiskami w spółce, co stanowi naruszenie art. 38 ust. 6 RODO. IOD nie może z jednej strony doradzać w zakresie ochrony danych osobowych a jednocześnie być odpowiedzialny za procesy przetwarzania danych wchodzące w zakres audytu, ryzyka i zgodności. Co więcej, organ uznał, że w związku z pełnieniem tak złożonej roli w organizacji w tym obejmującej uprawnienia decyzyjne – pracownika wysokiego szczebla oraz inspektora ochrony danych, osoba ta nie dawała wystarczających gwarancji poufności i bezpieczeństwa względem innych pracowników, którzy mogli obawiać się negatywnych konsekwencji zgłaszania ewentualnych nieprawidłowości np. zwolnienia z pracy. Organ nadzorczy zauważył także, że w organizacji zabrakło polityki zapobiegającej konfliktom interesów.

Powołując pracownika na Inspektora Ochrony Danych należy zwracać szczególną uwagę na właściwe umiejscowienie IOD w strukturze organizacyjnej firmy, ponieważ jego niezależność jest wymogiem wynikającym wprost z unijnego rozporządzenia. Zgodnie z art. 38 ust. 3 RODO inspektor nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań, nie może być odwoływany ani karany przez administratora za ich wykonywanie oraz powinien podlegać bezpośrednio najwyższemu kierownictwu. W decyzji organ zwrócił również uwagę na treść Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych (‘DPO’), zgodnie z którymi „niezwykle istotne jest, by DPO, lub jego zespół, był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z ochroną danych”, co również w ocenie organu nadzorczego nie było należycie zapewnione w kontrolowanej spółce.

Takie określenie statusu administratora może być trudne do realizacji zwłaszcza dla niezbyt dużych podmiotów. W ich przypadku korzystniejsze może być skorzystanie z outsourcingu usług IOD niż tworzenie odrębnego, gwarantującego niezależność stanowiska wewnątrz organizacji.

Źródła:

  1. Decyzja organu: https://www.gegevensbeschermingsautoriteit.be/
  2. https://www.huntonprivacyblog.com/
  3. https://www.huntonprivacyblog.com/
  4. https://uodo.gov.pl/pl/10/7

Webinarium zgodne z RODO

Życie w epoce informacji, przenikanie się świata realnego i wirtualnego – niedawno slogany z wizji przyszłości, w ostatnich tygodniach, bardziej niż kiedykolwiek wcześniej, stały się naszym codziennym doświadczeniem. W poszukiwaniu źródeł wartościowych informacji coraz więcej osób bierze udział w webinariach, podczas których wiedzą dzielą się najlepsi specjaliści w swoich dziedzinach.

Webinarium (ang. webinar) to seminarium przeprowadzane za pośrednictwem Internetu przy pomocy technologii webcast.
Nazwa ta powstała z połączenia wyrazu sieć (ang. web) z częścią słowa seminarium.

Jak więc spełnić wymogi prawa, a co więcej – oczekiwania dbających o swoją prywatność i bezpieczeństwo uczestników i zorganizować webinarium zgodnie z rozporządzeniem ogólnym o ochronie danych osobowych (RODO)?

Nowoczesne rozwiązania wymagają nowoczesnego podejścia do przetwarzania danych osobowych. RODO jest nazywane inteligentnym aktem prawnym właśnie dlatego, że ustanowione w nim elastyczne wymogi stosowania środków technicznych i organizacyjnych pozostawiają przestrzeń dla bezpiecznego zaprojektowania nowych procesów przetwarzania danych osobowych.

Planując webinarium zarówno organizator, jak i operator webinarium muszą zadbać o wkomponowanie w ten „produkt” zasad prywatności już na początku jego projektowania – od określenia, jakie dane o uczestnikach będą przetwarzać po szczegóły środków technicznych, jakie zastosują dla zapewnienia bezpiecznej dwustronnej komunikacji. RODO wymaga także ciągłej oceny ryzyka i skutków dla ochrony danych w przypadku ich przetwarzania przy użyciu nowych technologii lub na dużą skalę.

Przed wyborem operatora warto więc przyjrzeć się m.in. w jaki sposób:

  • będzie szyfrowane połączenie.
  • Użytkownicy mogą zabezpieczyć swój osobisty identyfikator spotkania (PMI).
  • Organizator może uniemożliwić dołączenie do webinarium pod imieniem innego uczestnika.

! Organizator, czyli administrator danych osobowych, jest odpowiedzialny za zapewnienie bezpieczeństwa danych uczestników. Dlatego należy z najwyższą ostrożnością wybierać operatorów webinariów. Decydując się na odpowiedni program do realizacji tego przedsięwzięcia, należy dokładnie zapoznać się z regulaminem dostawcy, polityką prywatności a także gdzie i w jaki sposób będą przetwarzane dane osobowe uczestników.

W wypadku naruszenia ochrony danych osobowych uczestników, na szali leży ryzyko wysokiej kary administracyjnej oraz reputacja organizatora. Dlatego warto zwrócić się o pomoc do ekspertów, którzy profesjonalnie zajmują się ochroną danych osobowych i bezpieczeństwem informacji.

Oto kilka wskazówek dla osób koordynujących przetwarzanie danych osobowych w związku z organizowaniem webinarium:

  • Nie wysyłaj zaproszeń do udziału w webinarium do osób, które wcześniej nie wyraziły zainteresowania otrzymaniem takiej informacji.
  • W formularzu rejestracyjnym wymagaj podania tylko takich informacji, które są niezbędne do realizacji celu (udziału w webinarium) a także takie które będziesz rzeczywiście wykorzystywał – do udziału w niektórych webinariach wystarczające będzie podanie adresu e-mail, ale w innych przypadkach konieczne może być zebranie szerszej kategorii danych, na przykład niezbędnych do przyjęcia płatności, czy potwierdzenia tożsamości. Przydatne może okazać się też uzyskanie nazwy firmy i stanowiska uczestnika, dzięki czemu organizator może lepiej odpowiedzieć na potrzeby audytorium.
  • Jeżeli dostęp do webinarium będzie autoryzowany, aby uniknąć udziału osób niezaproszonych, zaplanuj jakich danych osobowych będziesz potrzebować do uwierzytelnienia uczestników. Możliwe, że sam adres e-mail nie będzie wystarczający i przydatny może być także numer telefonu.
  • W przejrzysty sposób poinformuj uczestników o przetwarzaniu ich danych i przysługujących im prawach.
  • Sprawdź kto jest operatorem usługi webinarium. Jeśli dane zbierane przez formularz elektroniczny mają trafić poza Europejski Obszar Gospodarczy, konieczne będą dodatkowe działania wymagane przez RODO. Do działań tych należy zidentyfikowanie podstawy prawnej legalizującej transfer danych. Ponadto w takim przypadku na organizatorze spoczywa obowiązek poinformowania uczestników webinarium o zamiarze przekazania danych osobowych do państwa trzeciego (poza EOG), o stwierdzeniu przez Komisję Europejską odpowiedniego stopnia ochrony lub o odpowiednich lub właściwych zabezpieczeniach (jeśli decyzja KE nie została wydana dla danego państwa trzeciego) oraz o możliwościach uzyskania przez osobę, której dane dotyczą kopii danych lub o miejscu udostępnienia danych.

Planujesz przesyłać uczestnikowi informacje marketingowe w przyszłości?

W poszukiwaniu właściwej podstawy prawnej legalizującej takie działania w pierwszej kolejności można zbadać, czy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, która uczestniczyła w webinarium, a organizatorem, na przykład czy osoba ta jest stałym klientem organizatora i ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie jej  danych w celu przedstawienia oferty organizatora. O testach równowagi interesów pisaliśmy tutaj.

Jeżeli jednak ocenisz, że interesy i prawa podstawowe uczestnika mogą być nadrzędne wobec Twojego interesu jako organizatora, w szczególności, gdy osoba ta nie ma rozsądnych przesłanek, by spodziewać się dalszego przetwarzania, możesz pozyskać zgodę na przekazywanie informacji marketingowych w przyszłości oraz na kanał komunikacji, którego chcesz używać.

! Warto przemyśleć kolejność zgód, gdyż zgoda wyłącznie na dany kanał komunikacji (w celu przekazania treści marketingowych) nie stanowi w świetle RODO samodzielnej podstawy legalizującej przetwarzanie danych osobowych w celach marketingowych.

Upewnij się, że zebrałeś odrębne zgody, spełniające wszystkie wymogi RODO.

Pamiętaj, że zgodę na przekazywanie informacji handlowych za pośrednictwem e-mail, sms, mms, czy połączeń telefonicznych – należy zebrać również w przypadku, gdy podstawą prawną przetwarzania danych w celach marketingowych jest prawnie uzasadniony interes administratora danych.

Przedsiębiorca w starciu z koronawirusem okiem inspektora ochrony danych – badania marketingowe

Zlecanie badań marketingowych

W czasie zastoju gospodarki spowodowanym ograniczeniami mającymi spowolnić rozprzestrzenianie się koronawirusa, wielu przedsiębiorców musiało zmienić sposób prowadzenia swojego biznesu. Działania, które musiały zostać szybko dostosowane do bieżącej sytuacji to m. in. strategie marketingowe. Utrudnienia w handlu spowodowane zamknięciem sklepów oraz koniecznością cięć wydatków zakupowych uniemożliwiły marketingowcom korzystanie z dotychczas stosowanych narzędzi promocji i zmusiły do zmiany  sposobów działania. W opracowywaniu odpowiednich strategii marketingowych wielką rolę odgrywają ośrodki badania rynku pozwalające na analizę satysfakcji klienta, preferencji zakupowych czy jakości komunikacji z odbiorcą usług.

Na co powinniśmy zwrócić uwagę przy zlecaniu badań?

W zależności od tego na jaki rodzaj badania zdecyduje się zleceniodawca, agencje badawcze będą albo oddzielnym administratorem albo podmiotem przetwarzającym. Ustalenie tej relacji pomoże nam zrozumieć jakie obowiązki z zakresu ochrony danych osobowych musimy spełnić my – jako zleceniodawca – a co pozostaje w gestii agencji badawczych, które świadczą usługę.

Przede wszystkim,  w przypadku gdy powierzamy przetwarzanie danych agencji badawczej, a więc działamy jako administrator, powinniśmy zgodnie z art. 28 ust. 1 RODO zapewnić, że wybrany przez nas wykonawca będzie zapewniał odpowiednie gwarancje ochrony danych osobowych, a więc  że będzie posiadał odpowiednie zabezpieczenia techniczne (np. z zakresu bezpieczeństwa IT) oraz organizacyjne dotyczące przetwarzania danych. Jednym ze sposobów sprawdzenia rzetelności zabezpieczeń podmiotu przetwarzającego jest poproszenie agencji badawczej o wypełnienie ankiety sprawdzającej przed zleceniem badania. Przy ankietowaniu warto zwrócić uwagę m.in. na to czy wybrany podmiot posiada procedury ochrony danych osobowych, czy jest w stanie w prosty sposób opisać swoje zabezpieczenia infrastruktury sieciowej, czy powołał Inspektora Ochrony Danych lub czy posiada Certyfikat PKJBI – Programu Kontroli Jakości Bezpieczeństwa Informacji (https://www.ofbor.pl/index.php/standardy#pkjbi).

Po drugie administrator jest zobowiązany do spełnienia obowiązku informacyjnego wobec podmiotów danych , tak więc konieczne może okazać się przygotowania odpowiedniej klauzuli informacyjnej dla respondentów i zobowiązanie wykonawcy do jej przekazania przed rozpoczęciem przetwarzania danych.

Także na administratorze – a więc często zleceniodawcy – spoczywa obowiązek nadzoru nad prawidłowością przetwarzania danych w wykonywanym badaniu i realizacji oraz podejmowania działań polegających m. in. na zarządzaniu naruszeniami ochrony danych lub obsłudze żądań respondentów. Dobrze jest więc, żeby szczegóły współpracy pomiędzy stronami umowy zostały doprecyzowane przed jej zawarciem – m. in w ramach umowy powierzenia przetwarzania danych

Administrator czy podmiot przetwarzający?

Nie zawsze jednak możliwe będzie bezproblemowe wskazanie w jakiej roli występuje wybrana przez nas agencja badawcza. W doktrynie istnieje pogląd, że w większości przypadków agencje badawcze działają w charakterze odrębnego administratora danych osobowych[1]. Jednak w przypadku, gdy ośrodek badawczy działa na przekazanej mu przez nas bazie danych respondentów (np. naszych klientów lub pracowników), co do zasady będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych.

[1] Por. Kodeks Postępowania dotyczący Przetwarzania Danych Osobowych Przez Agencje Badawcze, s. 8, https://www.ofbor.pl/images/pliki/1_Kodeks%20post%C4%99powania_2019_.pdf (dostęp. 28.04.2020).

Wytyczne EROD w sprawie covid-19 – czy za nośnymi hasłami idą nowe treści

Zapewnienie spójnego stosowania przepisów RODO jest podstawowym zadaniem Europejskiej Rady Ochrony Danych (EROD). W tym celu co pewien czas organ ten wydaje tzw. wytyczne. 21 kwietnia 2020 EROD przyjęła wytyczne w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID-19.

Dokument ten ma na celu raczej uporządkowanie i przypomnienie najważniejszych zasad związanych z przetwarzaniem danych osobowych w celach naukowych – niż wskazanie nowych rozwiązań.

Wyraźnie należy zaznaczyć, że wytyczne „nie skupiają się na przetwarzaniu danych osobowych w celu nadzoru epidemiologicznego” co zostało podkreślone już we wprowadzeniu do tego dokumentu.

Z lektury wynika, że ich celem jest usystematyzowanie kwestii związanych z:

  • Podstawą prawną przetwarzania danych w celach naukowych.
  • Wdrożeniem odpowiednich zabezpieczeń dla przetwarzania danych dotyczących zdrowia.
  • Wykonywaniem praw osób, których dane dotyczą.

Organ wskazuje, że walka z pandemią nie musi oznaczać przetwarzania danych osobowych niezgodnie z RODO. W samym rozporządzeniu jednym z  wyjątków od zakazu przetwarzania szczególnych kategorii danych osobowych, w tym  danych dotyczących zdrowia, jest  niezbędność do celów badań naukowych.

Przetwarzanie danych jest zgodne z prawem, gdy odbywa się na podstawie ważnych podstaw prawnych.  W przypadku danych dotyczących stanu zdrowia poza zgodą (art. 9 ust. 2 lit a RODO), EROD przypomina o podstawie z art. 9 ust 2 lit j) – gdzie wprost wskazane jest przetwarzanie danych do celów naukowych oraz z art. 9 ust. 2 lit i) – zgodnie z którym przetwarzanie tych danych jest dopuszczalne, jeśli jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego.

Istotne jest, że zarówno UE, jak i państwa członkowskie mogą wprowadzić szczegółowe przepisy prawne zgodnie z art. 9 ust. 2 lit. j) lub art. 9 ust. 2 lit. i) RODO, aby zapewnić podstawę prawną przetwarzania danych dotyczących zdrowia do celów badań naukowych. Tym samym zasady przetwarzania danych mogą różnić się w zależności od krajowego ustawodawstwa poszczególnych państw członkowskich.

EROD przypomniał również o zasadach przetwarzania ochrony danych w tym o :

  • Przejrzystości i informowaniu osób, których dane dotyczą – czyli konieczności spełnienia obowiązku informacyjnego zgodnie z art. 13 albo 14 RODO (w zależności od tego czy dane uzyskaliśmy bezpośrednio od podmiotu danych czy z innego źródła). Organ odniósł się również do odstępstw od spełnienia tego obowiązku wskazując przykłady sytuacji, w których może to mieć zastosowanie.
  • Ograniczeniu celu i domniemaniu zgodności – wskazując, że dalsze przetwarzanie w celach naukowych nie jest niezgodne z pierwotnym celem. Zastrzegł jednak, że „Temat ten, ze względu na jego horyzontalny i złożony charakter zostanie bardziej szczegółowo omówiony w planowanych wytycznych EROD w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych.”.
  • Minimalizacji danych i ograniczeniu przechowywania – podnosząc, że tam gdzie to możliwe należy zastosować prowadzenie badań naukowych w oparciu o dane zanonimizowane oraz podkreślając niezbędność ustalenia okresów przechowywania danych.
  • Integralności i poufności – przypominając, że przetwarzanie danych dotyczących stanu zdrowia może w większym stopniu prowadzić do negatywnych skutków dla osób, których dane dotyczą, a tym samym wymaga większej ochrony.

 

W Wytycznych wskazano, że pandemia COVID-19, nie oznacza zawieszenia ani ograniczenia możliwości wykonywania przez osoby, których dane dotyczą przysługujących im praw. Jednak na mocy art. 89 ust. 3 RODO prawo UE lub państw członkowskich może ograniczyć wykonywanie tych praw, jeśli jest prawdopodobne, że prawa te uniemożliwiają lub poważnie utrudniają realizację konkretnych celów.

Przypomniano o podstawach transferu danych (czyli przekazywaniu danych poza EOG). Istotny z uwagi na podstawy transferu jest fakt, że zdaniem EROD „walka z COVID-19 została uznana przez Unię Europejską i większość jej państw członkowskich za ważny interes publiczny, który może wymagać pilnych działań w dziedzinie badań naukowych (na przykład w celu identyfikacji metod leczenia i/lub opracowania szczepionki), a także może obejmować przekazywanie danych do państw trzecich lub organizacji międzynarodowych.”.

Podsumowując opisywane wytyczne EROD są przypomnieniem o zasadach przetwarzania danych i istniejących wyjątkach od tych zasad. Nie wprowadzają żadnych nowych rozwiązań, ani nie są też podpowiedzią jak przetwarzać dane dotyczące stanu zdrowia do celów naukowych.

Jak sama EROD zaznaczyła „stworzenie dalej idących i bardziej szczegółowych wytycznych w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych stanowi część rocznego planu prac EROD”, więc z niecierpliwością czekamy na realizacje planu.

Tekst Wytycznych dostępny jest pod linkiem https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_pl.

Na stronie UODO znajduje się polskie tłumaczenie https://uodo.gov.pl/pl/138/1504

Przedsiębiorca w starciu z koronawirusem okiem inspektora ochrony danych – badanie temperatury ciała pracowników

Stan epidemii i towarzyszące mu obostrzenia wpłynęły na sposób w jaki przetwarzamy dane osobowe naszych pracowników. O działaniach pracodawców mających na celu zapewnienie bezpieczeństwa zatrudnianych osób pisaliśmy już wcześniej (link), jednak postępowanie epidemii oraz zmiany prawne wprowadzone na przełomie ostatnich kilku tygodni wymagają ponownego rozważenia poruszonych  kwestii oraz dokładniejszego skupienia się na wybranych zagadnieniach.

Musimy pamiętać, że działania polegające na zapewnieniu bezpieczeństwa określonej grupie osób praktycznie zawsze wiążą się z ingerencją w ich prawo do prywatności. Przykłady takich działań to:  wprowadzenie monitoringu wizyjnego, kart dostępu, księgi wejść i wyjść, rewizje, badania trzeźwości itp. Wykonywanie każdej z nich zwiększa bezpieczeństwo pracodawcy i pracowników, jednak w zależności od ich charakteru, w różnym stopniu narusza prywatność osób podlegających tym działaniom. Obowiązkiem pracodawcy jest przeanalizowanie zagrożeń i dobranie odpowiednich środków, które nie będą naruszały prawa do prywatności zabezpieczanych osób bardziej niż jest to konieczne. Innymi słowy zabezpieczenia muszą być skrojone na miarę – nie mogą być nadmierne, ale powinny spełniać swoją funkcję.

W momencie opublikowania tego artykułu mamy w Polsce około 10 tysięcy potwierdzonych przypadków zakażeń wirusem Covid-19. Wielu pracodawców zostało zmuszonych okolicznościami do zawieszenia prowadzonej działalności lub na wysłanie pracowników na pracę zdalną. Niektórzy jednak – w tym zakłady produkcyjne, zakłady opieki zdrowotnej, firmy kurierskie, sklepy spożywcze pracują w normalnym trybie, co zmusza pracodawców do podejmowania działań związanych z zapewnieniem bezpieczeństwa pracownikom. Jak dbać o bezpieczeństwo pracowników, bez naruszenia prawa ochrony danych? W tym artykule chciałbym skupić się na od omówieniu kwestii badań temperatury ciała – czyli najprostszej metody wyselekcjonowania osób potencjalnie zakażonych wirusem.

Wiele zakładów pracy decyduje się na mierzenie temperatury pracownikom przed dopuszczeniem ich na teren zakładu. W obecnej chwili takie zachowanie może wydawać się uzasadnione, jednak w dalszym ciągu problematyczna jest kwestia ustalenia właściwej podstawy prawnej takiego działania.

W mojej opinii należy rozróżnić dwie sytuacje – mierzenie temperatury, które jest regulowane przepisami prawa ochrony danych osobowych oraz takie, które nie stanowi przetwarzania danych w rozumieniu Rozporządzenia ogólnego o ochronie danych (RODO).

W przeważającej większości przypadków mamy do czynienia z mierzeniem temperatury, które jak się wydaje, nie podlega przepisom RODO. Chodzi o takie mierzenie temperatury, z którego pracodawca nie sporządza żadnej notatki ani protokołu. Badanie ogranicza się do przyłożenia termometru do czoła osoby badanej, sprawdzeniu przez kontrolującego wskazywanej temperatury ciała i – w zależności od wyniku – dopuszczenie pracownika do wejścia na teren zakładu lub zalecenie wykonania odpowiednich badań. Przy takim modelu trudno uznać, że dane osobowe przetwarzane są w sposób zautomatyzowany lub, że stanowią one/mają stanowić część zbioru danych. Wydaje się więc, że ten rodzaj badania nie spełnia kryteriów wymienionych w art. 2 ust. 1 Rozporządzenia, a więc nie podlega przepisom RODO.

Druga sytuacja polega na mierzeniu temperatury ciała osób wchodzących na teren zakładu pracy oraz sporządzania z tego badania odpowiedniej notatki lub protokołu. W mojej ocenie odnotowywanie wyniku skutkuje utworzeniem zbioru danych – tak więc w tym modelu mamy do czynienia z przetwarzaniem danych osobowych regulowanym przepisami Rozporządzenia. Jako, że dane takie jak temperatura ciała stanowią dane dotyczące zdrowia, administrator nie może uzasadniać przetwarzania powołując się na przesłankę prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) Przeglądając katalog podstaw przetwarzania danych szczególnych kategorii, zamieszczony w art. 9 RODO, wydaje się, że administrator może przetwarzać dane dotyczące zdrowia na podstawie trzech następujących podstaw przetwarzania:

  • Wyraźnej zgody podmiotu danych (art. 9 ust. 2 lit. a RODO).
  • Obowiązku prawnego wynikającego z przepisów prawa pracy lub ochrony socjalnej (art. 9 ust. 2 lit. b RODO).
  • Niezbędności przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego (art 9 ust. 2 lit. i RODO).

Zgoda podmiotu danych

Przesłanka zgody podmiotu danych stwarza ryzyko zakwestionowania jej dobrowolności, która w relacji pracodawca – pracownik jest trudna do udowodnienia. Minusem powołania się na tę przesłankę jest również fakt, że pracodawca dokonując kontroli nie będzie mieć pewności, że przebadana zostanie każda osoba wchodząca na teren zakładu pracy – właśnie ze względu na dobrowolność zgody. Przebadanie tylko części pracowników podważa sens prowadzenia badania, jako skutecznego środka zabezpieczającego.

Obowiązek prawny wynikający z przepisów prawa pracy

Wydaje się, że możliwe jest wyprowadzanie podstawy prawnej badania z przepisów prawa pracy – m.in. z art. 94 ust. 4 oraz z art. 207 Kodeksu pracy nakładających na pracodawcę obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy.  Problematyczność zastosowania tej przesłanki polega jednak na tym, że przepisy prawa pracy nie wskazują wprost na konkretny obowiązek sporządzania protokołów z badań pracowników przed wejściem na teren obiektu, co może być podstawą do zakwestionowania tej podstawy w przypadku badań temperatury.

Niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego

Wydaje się, że można by odwołać się do tej przesłanki powołując się na ewentualną decyzję Głównego Inspektora Sanitarnego, który na mocy ustawy ma kompetencje do zobligowania pracodawcy do konkretnego działania – art. 8a ust. 5 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2019 r. poz. 59 oraz z 2020 r. poz. 322). Problem dotyczący tej przesłanki wynika z jej nieprecyzyjnego sformułowania, z którego można wnioskować, że odnosi się ona tylko do przetwarzania danych przez osoby zobowiązane do przestrzegania tajemnicy zawodowej np. lekarzy lub pielęgniarki.

W związku ze sporymi wątpliwościami dotyczącymi możliwości zastosowania konkretnych podstaw przetwarzania danych z art. 9 RODO przy mierzeniu temperatury pracowników niewskazane jest odnotowywanie rezultatu przeprowadzonego pomiaru. Takie zachowanie, w mojej ocenie, sprawia że nie mamy do czynienia z przetwarzaniem danych osobowych w rozumieniu przepisów RODO, a co za tym idzie nie musimy spełniać pewnych obowiązków administratora danych wynikających z tego rozporządzenia – np. obowiązku informacyjnego względem podmiotu danych oraz obowiązku uwzględnienia przetwarzania w rejestrze czynności. Jest to również rozwiązanie, które w minimalnym stopniu ingeruje w prywatność osób badanych, nie narażając ich na niebezpieczeństwo chociażby wycieku pozyskanych od nich informacji.

Test równowagi – jak sprawdzić czy Twój prawnie uzasadniony interes może być legalną podstawą przetwarzania danych

Posługiwanie się przesłanką „prawnie uzasadnionego interesu” dla legalizacji przetwarzania danych osobowych jest bardziej skomplikowane niż może się wydawać. Wymaga wypracowania procedur oraz narzędzia, które pozwoli na uzyskanie poprawnego wyniku analizy.

Prawodawca unijny przykłada w RODO dużą wagę do zorganizowania przetwarzania danych osobowych w sposób zapewniający ochronę praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych Unii Europejskiej.

Po bliższym przyjrzeniu się przesłance prawnie uzasadnionego interesu, można wyróżnić trzy elementy składające się wspólnie na tę podstawę przetwarzania danych osobowych.

 Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit f RODO).

Podsumowując te trzy elementy, które umożliwiają skorzystanie z tej podstawy przetwarzania to:

  • Niezbędność do celu przetwarzania.
  • Cel musi wynikać z prawnie uzasadnionych interesów.
  • Brak nadrzędności interesów lub podstawowych praw i wolności osoby, której dane dotyczą.

Kluczowym warunkiem skorzystania z przesłanki przetwarzania wymienionej w art. 6 ust. 1 lit f) RODO jest przeprowadzenie testu równowagi (ang. balancing test) polegającego na wykazaniu równowagi między interesami administratora a interesami, prawami i swobodami podmiotu danych, czyli osoby, której przetwarzane dane dotyczą.

Rzetelny test równowagi, którego wartość nie zostanie podważona, powinien badać całokształt okoliczności planowanego przetwarzania danych. Test rozpoczyna się od wstępnego ustalenia równowagi interesów obu stron, tzn.:

  • Zidentyfikowania prawnie uzasadnionych interesów administratora i celu, w którym są one realizowane, przy czym administrator musi zapewnić, że jego interesy są zgodne z prawem, konkretne i rzeczywiste.
  • Zidentyfikowania interesów, podstawowych praw i wolności podmiotu danych, które mogą być naruszone przez przetwarzanie danych osobowych.

W kolejnym kroku należy zbadać „niezbędność” przetwarzania dla założonego celu (interesu administratora). Wymaga to ustalenia, czy przetwarzanie danych osobowych, w danych okolicznościach, jest konieczne do zrealizowania prawnie uzasadnionego interesu.

Niezbędność może dotyczyć wszystkich kategorii danych albo części kategorii danych, których przetwarzanie planuje administrator. Niedopuszczalne jest przetwarzanie tych danych, które nie są potrzebne do zrealizowania celu wskazanego przez administratora, jako prawnie uzasadniony interes .

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 107 ustawy o ochronie danych osobowych)

Test powinien również omawiać:

  • Zastosowane zabezpieczenia techniczne i organizacyjne.
  • Racjonalnie uzasadnione oczekiwania osób, których dane dotyczą.
  • Relacje/istniejący stosunek prawny między osobami, których dane dotyczą, a administratorem.
  • Wszystkie inne okoliczności dotyczące równowagi na korzyść (albo nie) administratora.

Ostatecznie należy przejść do:

  • Określenia, czyje interesy w danej sytuacji mają charakter nadrzędny – administratora, czy osoby, której dane dotyczą.
  • Udokumentowania przeprowadzonej analizy i wyniku testu.

Nie jest legalne przetwarzanie danych na podstawie „prawnie uzasadnionego interesu”, jeżeli z testu wynika, że interesy osoby, której dane dotyczą są w danej sytuacji nadrzędne wobec interesów administratora.

Nieprzeprowadzenie testu równowagi może stanowić naruszenie RODO i skutkować nałożeniem kary pieniężnej na administratora. Przedsiębiorcy, którzy wyznaczyli Inspektorów Ochrony Danych (IOD) mogą zwrócić się do nich o pomoc w przygotowaniu procedur, instrukcji i w samym przeprowadzeniu testów równowagi.

Dla osób zainteresowanych samodzielnym przeprowadzaniem testu przedstawiamy linki do przykładowych wzorów i opinii.

– Wzór ze strony ICO https://ico.org.uk/for-organisations/

– Wskazówki i wzór formularza ze strony IAPP –  Załącznik B https://iapp.org/media/pdf/

https://ec.europa.eu/